背景
我正在为我所在的小型企业设计服务器设置。我们希望将来能够在自己的位置托管自己的 Web 服务器和其他服务。
作为 IT 人员/网络人员/通用技术专家,我正在学习成为万事通。不幸的是,我对网络经验很少,但我正在学习,而且这很有趣。
我一直在阅读有关网络的资料,我相信自己对我们的网络状况有相当深入的了解。我了解端口转发的原理,也知道可以使用路由器来阻止传入的服务连接。我还启动并运行了基于 Nginx 的 Web 服务器,尽管我还没有弄清楚如何将其连接到互联网。
此外,我们确实没有购买新设备的预算,所以我只能使用我们闲置的一堆家庭网络设备。如果这些设备完全不够用,请告诉我,但我认为它们应该可以。
以下是当前设置的简要绘图:
从顶部开始,粗黑线(代表建筑数据连接,康卡斯特)在调制解调器处分为互联网。这里没有安装墙内以太网 - 我们的企业使用 Wi-Fi 作为互联网使用方式。因此,Wi-Fi 路由器直接连接到调制解调器,因为它是顶层的唯一设备。Wi-Fi 路由器为日常使用提供互联网服务。
问题描述
安全
我正在尝试将 Web 服务器安全地与网络的其他部分隔离开来。如果服务器受到攻击,我不希望它影响我们用于日常工作的计算机。
效率
我不想因为增加服务器而导致“日常”网络变得太慢。我也不想因为网络布局而导致服务器速度太慢。
设置
每个路由器的 IP 地址、子网掩码和连接应该是什么样的?
解决方案
这是我想到的第一个解决方案。使用工作组交换机,我想让两个路由器都处于顶级位置。服务器路由器将转发 TCP 端口 80(http)。
缺点:
- 我无法去上班。我假设这是因为两个路由器都试图从调制解调器获取相同的康卡斯特分配的公共 IP。不知何故,商业网络路由器在这种设置下可以正常工作,但另一个路由器不会更新/释放 IP 地址或提供向外的互联网连接(原因是 DNS 故障)。虽然我尝试为每个路由器提供不同的 IP 地址(一个 192.168.1.1,一个 192.168.2.1),但这并没有解决问题。
优点:
- 安全性好。如果服务器被入侵,它就无法进入企业网络。最坏的情况下,它可以嗅探外部流量,但我不确定这是否可能。
- 效率高。每个网络仅因工作组交换机而变慢。
这是我想到的下一个解决方案。它是一种 DMZ 样式的设置,允许服务器位于业务网络外部,但仍提供 HTTP 服务。
缺点:
- 在解决方案 A 中,我可以搞乱服务器路由器,而不会对日常业务造成任何影响。但在这种方法中,如果我搞砸了服务器路由器的配置,那就意味着每个人都会遇到麻烦。
- 效率低下,企业网络需要经过两个路由器才能上互联网。
- 服务器安全性差。如果其中一台商用计算机受到攻击,则可能会损坏服务器。
优点:
- 良好的商业网络安全。服务器即使受到攻击,也无法影响其他计算机。
- 正确处理公共 IP。此解决方案使用路由器作为顶级项目,这意味着它可以使用 DHCP 分配 IP 地址,而网络交换机则缺乏此功能。
该解决方案与第一个解决方案类似,但使用路由器而不是交换机来提供适当的 IP 处理。
缺点:
- 效率低下。两个网络都必须经过 2 个路由器才能上网。
优点:
- 安全性好。两个网络都无法直接访问对方。最坏的情况下,我猜可能会发生流量嗅探(不确定)。
- 正确处理公共 IP。此解决方案有一个顶层设备,可以使用 DHCP 来整理 IP 地址。
结论
我不确定哪种解决方案最有效。有没有我还没想到的更好的解决方案?
我也不确定如何设置最佳解决方案,以便它能够正确安全地为每个网络提供互联网服务。我需要如何处理每个路由器的 IP 地址、开放端口和子网掩码?
笔记:我知道 Server Fault 对于使用家庭网络硬件的问题容忍度很低。这实际上是我在这里发帖的唯一原因——我希望我的问题得到解答,我不想玩弄政治。如果这是错误的网站,如果您能将其移动到正确的位置,我将不胜感激。谢谢。
答案1
根据您提供的 3 个选择,B 是最好的(IMO),因为它将服务器保存在外围网络上,并且内部路由器将您的内部业务网络与外围网络隔离开来(以便服务器无法访问业务网络),同时使用最少的设备。
“真正的”答案(再次强调,在我看来):
- 获取支持适当非军事区(非军事区)。
- 将服务器放入 DMZ。
- 确保 LAN 与 DMZ 之间、WAN 与 DMZ 之间存在路由。
- 利润。